Aiwin y Repsol lanzan PRIVACY, un escape room interactivo para que los empleados tomen conciencia de cómo su uso y gestión de datos impactan en la privacidad de la empresa, y desarrollen así los comportamientos clave para recopilar, almacenar y gestionar los datos de forma segura
Más allá de la normativa RGPD (Reglamento General de Protección de Datos) de aplicación obligatoria desde mayo de 2018, existe una asignatura pendiente en las empresas que sobrepasa la legislación: cómo trasladar al empleado los conocimientos y comportamientos necesarios para un uso ético y responsable de los datos que maneja la organización.
En la era del Big Data todas las empresas recopilan, almacenan y gestionan datos de clientes y empleados, pero ¿se recopila solo aquellos datos que son estrictamente necesarios?, ¿se almacenan en los lugares adecuados?, ¿se gestionan de forma correcta? Lo cierto es que a día de hoy continúa habiendo irregularidades en torno a su protección y las prácticas de seguridad aún son deficientes, especialmente cuando se trata de compartir y almacenar datos sensibles.
El 98% de los data managers encuestados para un informe de Western Digital, considera que la seguridad de los datos podría mejorarse en estos aspectos, poniendo igualmente de manifiesto que el comportamiento de los empleados supone una amenaza incluso mayor que la de los piratas informáticos, ya que se estima que en 2021, 1 de cada 4 incidentes de seguridad de datos fue provocado por los empleados.
Además, España es el país europeo que más sanciones del RGPD acumula desde 2018, concretamente 273 multas con un valor medio de 118,831 euros, según un estudio de ESET, un hecho que pone de relevancia la gran necesidad de crear una cultura de privacidad en la empresa.
Por ello, y con motivo de la celebración del Día Europeo de la Protección de Datos (28 de enero), Aiwin y Repsol lanzan PRIVACY, un escape room interactivo con el que asegurar el buen uso y correcta gestión de datos por parte de los empleados.
“Generar una cultura de cumplimiento en la compañía es fundamental para verdaderamente proteger los datos y hacer un uso responsable de ellos. Cumplir con la normativa de protección de datos y seguridad de la información va a evitar que la empresa sufra reclamaciones que puedan acabar en expedientes sancionadores y eso solo se alcanza si todos los miembros de una organización tienen en su ADN la privacidad desde el diseño”, declara Patricia Chenlo, Responsable de la Oficina de Protección de Datos de Repsol.
Para el desarrollo de PRIVACY, desde Aiwin han definido los 4 comportamientos clave para garantizar la privacidad de los datos de clientes y empleados, teniendo en cuenta las principales vulnerabilidades en materia de gestión de datos que se cometen en el día a día de las empresas españolas:
Recopilar solo información esencial. Es necesario trasladar a los trabajadores que recopilar muchos datos no hace a la empresa ser más eficiente y competitiva, sino más vulnerables a una posible filtración. En este sentido recopilar sólo aquella información mínima e imprescindible para prestar los servicios.
Según el informe de Western Digital, más del 55% de usuarios en las empresas tienen acceso a datos que creen que probablemente no deberían. Un ejemplo podría ser solicitar el número de móvil o el número de cuenta cuando el objetivo es enviar una newsletter.
Además, es imprescindible que los empleados no tengan duda sobre qué es un dato personal, o un tratamiento de datos personales.
Ser transparente con el propietario de los datos. Todos los empleados deben conocer los derechos y principios del RGPD para no vulnerarlos en el uso y gestión de datos que realizan como parte de su trabajo diario.
Es esencial que sepan que en caso de que se produzca una brecha que afecte a datos personales, deben notificarlo inmediatamente al DPO de la compañía.
Proteger el dato como si fuera nuestro. A la hora de compartir datos personales de clientes y empleados con proveedores, lo primero que deben en cuenta los empleados es que, como responsables del tratamiento, están obligados a elegir un proveedor/encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del RGPD. Una vez seleccionado a un proveedor robusto será necesario cerrar el acuerdo a través de la firma de un contrato de encargo, el cual como mínimo debe establecer el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable, controlando siempre que solo se da acceso a los datos estrictamente necesarios para prestar el servicio.
También se debe recordar la importancia de utilizar canales de comunicación seguros garantizando la protección del dato desde el origen hasta el destino.
Hacer un uso responsable y ético del dato. Generar una cultura de privacidad en la empresa convierte a todos los miembros de la organización como piezas clave de la defensa del modelo de cumplimiento no sólo para recopilar, almacenar y gestionar el dato de forma ética y responsable, sino también para saber evaluar los riesgos y las medidas de seguridad, y actuar en consecuencia.
En esta línea, Sergio Jiménez, CEO de Aiwin, argumenta que “la protección y seguridad de los datos de clientes, empleados y proveedores de una empresa no es misión exclusiva de los equipos de protección de datos o de ciberseguridad. Es un tema que va más allá del cumplimiento, ahora es estratégico o incluso en ventaja competitiva para muchas organizaciones, para lo cual es fundamental crear una cultura alrededor del dato y centrada en las personas”.